CONSULENTE DEL LAVORO: titolare o responsabile del trattamento?

201903.05
Off
0

Il Garante risponde al quesito del Consiglio nazionale dei consulenti del lavoro in merito al ruolo che questi assumono alla luce del Regolamento (UE) n. 679/2016.

Il Garante chiarisce che i consulenti del lavoro assumono la veste di titolari del trattamento quando trattano i dati di propri dipendenti o clienti e di responsabili quando trattano i dati dei dipendenti dei propri clienti.

A tale soluzione il Garante approda partendo dalle definizioni dell’art. 4 del GDPR – per cui il titolare è il soggetto che “determina le finalità e i mezzi del trattamento dei dati personali” ed il responsabile il soggetto che “tratta i dati per conto del titolare” – e distinguendo, poi, il tipo di attività svolta dal consulente.

Da un lato, quando il consulente del lavoro, in qualità di professionista, tratta i dati di propri dipendenti o clienti (persone fisiche) agisce in piena autonomia e indipendenza, determinando le finalità e i mezzi del trattamento per il perseguimento di scopi attinenti la gestione della propria attività.

Nessun dubbio sul fatto che, esercitando un potere decisionale del tutto autonomo sulle finalità e sui mezzi del trattamento, il consulente del lavoro sia titolare del trattamento.

Dall’altro lato, invece, il consulente del lavoro, sulla base dell’incarico ricevuto dal datore di lavoro suo cliente, può trovarsi a trattare i dati dei dipendenti di quest’ultimo per finalità quali la predisposizione di buste paga.

Il datore di lavoro che esternalizza tali attività fornisce al consulente molteplici dati personali relativi ai propri lavoratori (dati identificativi, sanitari, relativi alla qualifica, all’adesione a organizzazioni sindacali, …).

Come affermato dal Garante, tale rapporto si inquadra nello schema titolare (datore di lavoro) – responsabile (consulente del lavoro).

Il consulente del lavoro, in qualità di responsabile, dovrà:

  • concludere con il proprio cliente un contratto per il trattamento dei dati ai sensi dell’art. 28 del GDPR;
  • nominare i propri collaboratori, in base alle concrete operazioni affidate, soggetti autorizzati al trattamento dei dati ai sensi dell’art. 29 del GDPR;
  • approntare sistemi e misure idonei a garantire la sicurezza dei dati gestiti (con un apprezzabile margine di autonomia nella scelta e correlativa responsabilità);
  • al termine del rapporto professionale, cancellare / anonimizzare / consegnare al titolare, in base a quanto disposto dal contratto, i dati trattati.

La risposta del Garante è consultabile QUI

Giulia Suigo – team Privacy – Tutela dei dati personali